Stellar Cyber renforce son offre de chasse aux menaces

Stellar Cyber est une jeune pousse discrète fondée en 2015 par Aimei Wei, ancien ingénieur logiciel de Cisco, et Changming Liu, fondateur d’Aerohive Networks, dont il fut le directeur technique jusqu’en mars 2018. Initialement appelée Aella Data, cet éditeur vise – comme de nombreux autres – à simplifier le travail des analystes dans les centres opérationnels de sécurité (SOC).

Sa plateforme Starlight est présentée comme une plateforme analytique de sécurité unifiée s’appuyant sur l’apprentissage automatique pour automatiser la chasse aux menaces et accélérer la détection de brèches, notamment.

La plateforme s’appuie sur des sondes pour la collecte de données du trafic réseau. Pas question, là, de faire de la capture de paquets complète (PCAP), ni de se contenter de ce que peut offrir Netflow. Les données collectées se situent entre les deux, à un niveau que Stellar Networks présente comme « 100 fois plus riche que Netflow et 100 fois plus mince que PCAP ». Et d’assurer pouvoir faire mieux qu’un Bro/Zeek « ou ses équivalent commerciaux » en identifiant « plusieurs milliers de protocoles » à la volée, pour extraire les métadonnées voulues et les transférer sous la forme d’enregistrements Json. Les sondes vont plus loin en se positionnant en intermédiaires d’agrégation et de transfert. Elles assurent également la collecte des détails de transferts de fichiers sur le réseau. De quoi participer à la détection de fuites de données et de téléchargements de maliciels.

Deux modèles de sondes sont proposés, pour surveiller 10 segments LAN 1 Gbps pour l’un, ou 4 seulement pour l’autre. Les deux modèles sortent des métadonnées à 1 Gbps, ou 200 Mbps lorsque la reconstruction de fichiers est activée. Les données produites par les sondes sont transmises à l’appliance Starlight (disponible en deux modèles selon les capacités requises), ou bien à un datalake Elasticsearch ou encore Splunk. Et cela n’a rien de bien surprenant : Starlight s’appuie sur la suite Elastic.

Après ingestion, réduction et contextualisation des données, la plateforme Starlight applique des algorithmes d’apprentissage automatique pour détecter les événements de sécurité. Pour sa version 3.1, Stellar Cyber revendique par exemple la corrélation automatique des données de tentatives d’intrusion avec celles des vulnérabilités connues présentes sur les hôtes de l’infrastructure.

L’apprentissage automatique est également mis à profit sur les journaux d’activité des pare-feux afin de débusquer d’éventuelles anomalies dans l’application des règles. L’intégration est possible avec les équipements Check Point, Fortinet, Juniper, Palo Alto, et même AWS.

Enfin, Starlight 3.1 permet de créer des requêtes définies par les analystes qui seront exécutées périodiquement, pour industrialiser la chasse aux menaces. Des actions automatiques y sont associées, allant de la simple génération d’alerte au lancement d’actions bloquantes sur le pare-feu. L’intégration avec un outil de SOAR est également possible. Celui de Demisto est supporté depuis la fin de l’année dernière.

Stellar Cyber est sorti de l’ombre à l’occasion de l’édition 2018 de RSA Conference. La jeune a réalisé fin février sa première levée de fonds, à hauteur de 13,2 M$.